Спасибо, а что неправильно в следующей конфигирации (доступ к серверу из вне идёт через eth1):<br><br>
iptables -A INPUT -i eth1 -p TCP --dport 80 -j ACCEPT<br>
iptables -A INPUT -i eth1 -p TCP --dport 443 -j ACCEPT<br>
iptables -A INPUT -i eth1 -p TCP -j DROP
Вышеописанная процедура работает, т.е. действительно перекрывает порты 80 и 443 из вне.
Но тогда перестаёт работать доступ пользователей в интернет через этот порт, т.к. локальные браузеры используют на приём порты, отличные от 80 и 443, а они заблокированы
Нашел решение с помошью --sport:
# открываем на передачу только порты ftp/http/https/webmin
iptables -A INPUT -i eth1 -p TCP --dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --dport 443 -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --dport 10000 -j ACCEPT
# открываем на приём только протоколы ftp/http/https
# дырка: возможен доступ к другим портам в данных протоколах !
iptables -A INPUT -i eth1 -p TCP --sport ftp -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --sport http -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --sport https -j ACCEPT
# все остальные порты в протоколе TCP закрываем
iptables -A INPUT -i eth1 -p TCP -j DROP
# ну и не люблю я когда меня пингуют
iptables -A INPUT -i eth1 -p ICMP -j DROP
можете покритиковать, если что забыл